Pomocy ! Wirus nie do usunięcia!


(Bdrk) #1

Co chwile Avast daje mi komunikaty że jest wirus więc daje żeby usunął go na dobre ale to nic nie daje wirus po chwili wraca

O to pliki z tym/tymi wirisami

E:\WINDOWS\svcproc.exe

E:\WINDOWS\System32\DrPMon.dll

E:\WINDOWS\Nail.exe

E:\DOCUME~1\SIWY_T~1\USTAWI~1\Temp\D2088\aurora.exe

Z góry dzięki za pomoc


(Neo26) #2

wklej loa z hijackthis


(123448) #3

wklej loga z hijack this. potem zapewne będziesz musiał wejśc do trybu awaryjnego z wyłączeniem przywracania systemu usunąć te wirusy.

p.s temat powinnien być w topicu bezpieczeństwo


(Duch) #4

przeskanuj system TYM


(Bdrk) #5

Co to jest ?


(El Presidento) #6

http://forum.dobreprogramy.pl/viewtopic.php?t=17593


(Duch) #7

http://forum.dobreprogramy.pl/viewtopic.php?t=17593

dokładnie przeczytać i zastosować :slight_smile:


(Kuz5) #8

Usun je programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:

E:\WINDOWS**** svcproc.exe

następnie program będzie pytał o restart (oczywiście zgadzasz sie)

I to samo robisz ze ścieżkami:

E:\WINDOWS**** Nail.exe

E:\WINDOWS\System32**** DrPMon.dll

Wyczyść katalog TEMP

Start=>Uruchom=>%temp%=>I usuń wszystko co sie tam znajduje

Na wszelki wypadek wklej loga :arrow: HijackThis 1.99.1

Odpalasz program i klikasz Do a system scan and save a logfile następnie automatycznie wyskoczy dokument tekstowy którego całą zawartośći wklejasz na forum.


(Jarkis) #9

A także tym:

http://skaner.mks.com.pl/skaner.html

http://www.windowsecurity.com/trojanscan/

A jak nie to usuń w trybie awaryjnym.

Pozdro. :smiley:


(Bdrk) #10

własnie skanuje mi juz od 10 minut tym programem i jak narazie tego samego trojana znalazło oprucz tych ściażek które podałem jeszcze z 15 innych ścieżek (ładnie się rozprzeszczenił) poczekam aż skończy skanować.

Złączono Posta : 05.07.2005 (Wto) 17:51

Poradziłem sobie tym programem bez opisu :smiley:

A o to to co mi dał ten programik :smiley:

Logfile of HijackThis v1.99.1

Scan saved at 17:51:43, on 2005-07-05

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\Explorer.EXE

E:\WINDOWS\system32\spoolsv.exe

E:\Program Files\Common Files\CMEII\CMESys.exe

E:\WINDOWS\System32\SahAgent.exe

E:\WINDOWS\System32\notpad.exe

E:\WINDOWS\System32\rundll32.exe

E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

E:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

E:\WINDOWS\System32\ctfmon.exe

E:\Program Files\Messenger\msmsgs.exe

e:\windows\system32\fvmgvmr.exe

E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

E:\Program Files\Alwil Software\Avast4\ashServ.exe

E:\WINDOWS\System32\nvsvc32.exe

E:\WINDOWS\System32\MSN32x.EXE

E:\Documents and Settings\Siwy_TelNet\Pulpit\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.freeze.com/start.shtml

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=Explorer.exe E:\WINDOWS\Nail.exe

O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - E:\Program Files\iMesh\iMesh5\iMeshBHO.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - E:\Program Files\NewDotNet\newdotnet6_38.dll

O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - E:\Program Files\iMeshBar\bar\1.bin\IMESHBAR.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: Accoona - {364B6276-C6C1-40B6-A6D7-6C48871FD707} - E:\PROGRA~1\Accoona\atoolbar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - E:\Program Files\iMeshBar\bar\1.bin\IMESHBAR.DLL

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [QuickTime Task] "E:\WINDOWS\System32\qttask.exe" -atboottime

O4 - HKLM..\Run: [CMESys] "E:\Program Files\Common Files\CMEII\CMESys.exe"

O4 - HKLM..\Run: [sAHAgent] E:\WINDOWS\System32\SahAgent.exe

O4 - HKLM..\Run: [Media service] notpad.exe

O4 - HKLM..\Run: [New.net Startup] rundll32 E:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O4 - HKLM..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM..\Run: [sunJavaUpdateSched] E:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM..\Run: [rjnjsnw] e:\windows\system32\fvmgvmr.exe r

O4 - HKLM..\Run: [MSN32 X Service] MSN32x.EXE

O4 - HKLM..\Run: [Windows Network Controller] Win9x.exe

O4 - HKLM..\RunServices: [Media service] notpad.exe

O4 - HKLM..\RunServices: [MSN32 X Service] MSN32x.EXE

O4 - HKLM..\RunServices: [Windows Network Controller] Win9x.exe

O4 - HKLM..\RunOnce: [Windows Network Controller] Win9x.exe

O4 - HKCU..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe

O4 - HKCU..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - E:\Program Files\IrfanView\Ebay\Ebay.htm

O10 - Hijacked Internet access by New.Net

O12 - Plugin for .spop: E:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - E:\Program Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Windows Network Controller (Win32) - Unknown owner - E:\WINDOWS\System32\Win9x.exe" -netsvcs (file missing)


(Musg) #11

no nie bardzo:

do usuniecia masz jeszcze :

to powyzej usuwasz hijackiem ale najpierw recznie pogrubione wpisy z systemu

dodatkowo do wywalenia:

ale to za pomocą programu:

http://www.cexx.org/lspfix.htm

hijackiem usun jeszcze to:


(Bdrk) #12

ja nic sam nie usuwałem, tylko ten log wkleiłem :slight_smile:


(boczi) #13

Ale napisałeś:

I to w tamtym kontekście trochę zmyliło :wink:

Zrób co radzi kuz5 i musg i daj nowy log.

Wszystko robisz oczywiście w tr. awaryjnym z wył. przywracaniem systemu.


(Bdrk) #14

to nic nie da ze usune z systemu to

F2 - REG:system.ini: Shell=Explorer.exe E:\WINDOWS\Nail.exe

O4 - HKLM..\Run: [CMESys] "E:\Program Files\Common Files\CMEII\CMESys.exe

O4 - HKLM..\Run: [sAHAgent] E:\WINDOWS\System32\SahAgent.exe

bo te pliki już usuwałem ale one się same tworzą tzn jak wywale ten Nail.exe to po chwili on i tak tam jest i tak jest z każdym z tych 3 plików, sme się automatycznie tworzą po usunięciu :))


(boczi) #15

Robisz to w awaryjnym bez obsługi sieci?

Ściągasz Worms Doors Cleaner i zamykasz porty robaków. Następnie usuwasz pogrubione pliki. I potem z Hijackthis.


(Bdrk) #16

Tak w awaryjnym

Popatrz co znalazłem o tych plikach w necie a o to i cytat

W istocie na kompie lądują jako "grupa": Bolger.dll, DrPMon.dll, Nail.exe, Aurora.exe, svcproc.exe, Poller.exe, uacupg.exe, thnall1ac.html. Ten plik o losowej nazwie i wadze ~74KB jest generowany przez Nail.exe i jeśli nie zostanie usunięty RAZEM I W TYM SAMYM CZASIE z Nail.exe i bolger.dll następuje reinfekcja a ten plik generuje się pod inną losową nazwą i tak w koło. Ponadto jako "niespodzianka" do tego kompletu montują się inne dziadostwa jak isearch.com (ukryta usługa DELPROT! )

No wiec nic nie da w awaryjnym go usunąć bo sam się odtworzy a usuwalem juz go w awaryjnym


(boczi) #17

Ok w takim razie POCZYTAJ.


(Johny) #18

Po usunięciu zainstaluj migiem SP2 i antywirusa np AVG Free,bez tego co chwila będziesz łapał syfy,masz ich więcej niż jeden,już poprzednicy o nich pisali


(El Presidento) #19

:smiley: :smiley: :smiley: To on bedzie przepuscal dopiero syfu zdecydowanie odradzam :-x


(Zelgadis) #20

jak za free to tylko avast. za avg nie ma co się brać. ewentualnie można brać trial f-secure na pół roku:

http://esd.element5.com/demoreg.html?pr ... nguageid=1

bardzo dobry program, chyba każdy się zgodzi :wink: